Welcher Prozess erstellt diese Datei?

#16 Hi,
habe mit Bitdefender gescannt, beim ersten mal wurden 8 Viren gefunden und entfernt (waren alle im System Volume Information Ordner) leider hat sich die Active-X Komponente nach 3,5 Stunden laufzeit (es war schon alles gescannt, der scann ließ sich aber nicht abschließen) aufgehängt, sodass ich keinen Report bekam. Beim 2. Mal wurden keine Viren mehr gefunden.

Beim Sann mit Sophos Anti-Rootkit habe ich 4 versteckte Registry Values und einen versteckten Key gefunden sowie 2 versteckte Prozesse und einen "Null"-Prozess. Bereinigen konnte ich diese aber nicht.

Vinschni

PS: Danke Sabina für deinen Hilfe bis jetzt, mein OS läuft wieder stabil .

#17

Zitat

Beim Sann mit Sophos Anti-Rootkit habe ich 4 versteckte Registry Values und einen versteckten Key gefunden sowie 2 versteckte Prozesse und einen "Null"-Prozess.

kannst du das log hier posten... es kann sein, dass noch was vom Rootkit auf dem Rechner ist.
(nicht empfehlenswert)
übrigens, wenn du wichtige Dinge mit dem Rechner erledigst, ist jede Reinigung für die Katz, das System ist und bleibt kompromitiert. In diesem Fall heisst es : formatieren.
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Der Clenup checked items - Button ist bei Sophos Anti-Rootkit ausgegraut. Ich hab deshalb einmal einen Scan mit dem Sysinternals Rootkitrevaler gemacht. Hier ist das Log:

Zitat

HKU\.DEFAULT\Control Panel\International 26.3.2008 16:32 0 bytes Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo 26.3.2008 16:32 0 bytes Security mismatch.
HKU\S-1-5-21-2025429265-1364589140-839522115-1004\Control Panel\International 26.3.2008 16:32 0 bytes Security mismatch.
HKU\S-1-5-21-2025429265-1364589140-839522115-1004\Control Panel\International\Geo 26.3.2008 16:32 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International 26.3.2008 16:32 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo 26.3.2008 16:32 0 bytes Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC* 25.1.2007 16:27 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 25.1.2007 16:27 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg 6.8.2007 18:33 0 bytes Access is denied.
HKLM\SYSTEM\ControlSet004\Services\vax347s\Config\jdgg40 8.4.2008 16:04 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\Perflib_Perfdata_2cc.dat 8.4.2008 16:29 16.00 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\Perflib_Perfdata_bb8.dat 8.4.2008 16:07 16.00 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\~DFA65.tmp 8.4.2008 16:06 112.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 26.11.2007 15:47 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 26.11.2007 15:47 111.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll 26.11.2007 15:47 8.00 KB Visible in Windows API, but not in MFT or directory index.

Ich weiß nicht inwiefern die hier gefundenen Sachen ein Risiko darstellen.

Mit freundlichem Gruß,

Vinschni

#19 Hallo,

Zitat

wurden 8 Viren gefunden und entfernt (waren alle im System Volume Information Ordner)

««
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

das ist alles legal und somit in Ordnung.
Die Reinigung war also erfolgreich.
Alles Gute
__________
MfG Sabina

rund um die PC-Sicherheit